• 主頁
  • 文章
  • 一般的
  • WordPress 安全最佳實踐 – TODO 列表 – 如何保護您的 WordPress 博客?

WordPress 安全最佳實踐 – TODO 列表 – 如何保護您的 WordPress 博客?

已發表: 2015-05-25

認真對待 WordPress 安全性

WordPress 是自託管博客和網站最受歡迎的平台之一。 雖然 WordPress 開箱即用非常安全,但總會有人想通過找到一種方法來破解帳戶或網站以造成損害或註入隱藏的垃圾郵件鏈接來製造麻煩。 這就是為什麼確保您的 WordPress 安裝盡可能安全很重要的原因。 WordPress 安全提示。

TechCrunch 是世界上最大的博客,在短短八小時的時間內(2012 年)被黑客入侵兩次。 根據 WordPress 的首席程序員 Mark Jaquith 的說法,這次黑客攻擊很可能是因為一個不安全的 WordPress 插件,它允許黑客使用 php 注入的方法來破解技術危機。 這不是服務器端黑客攻擊。 我希望這些詳細信息能幫助您保護您的 WordPress 博客。

對以下問題有以下疑問?

  • wordpress 安全插件評論
  • wordpress 安全漏洞
  • wordpress 安全最佳實踐
  • wordpress 安全問題
  • wordpress 安全提示
  • 最好的 wordpress 安全插件
  • wordpress 安全掃描
  • wordpress 安全檢查

那麼你來對地方了。 Crunchify 的安全插件評論。

以下是一些讓您的 WordPress 網站或博客更安全且不易受到惡意攻擊的提示。 這些步驟通過阻止壞人來幫助我們保護我們的博客。

1) 升級到最新版本的 WordPress

沒有任何軟件系統可以免受錯誤和漏洞的影響。 安全漏洞會被發現,壞人會盡力利用它們。 使您的軟件保持最新是避免攻擊的好方法,因為一旦發現安全漏洞,可靠的軟件供應商就會修復他們的產品。

幸運的是,讓您的 WordPress 網站保持最新是您可以做的最簡單的事情之一。 在最近的幾個版本中,WordPress 包含了安裝自動更新的功能。 不僅如此,每次有新的升級可用時,網站都會收到通知。

如果您運行的不是最新版本的 WordPress,請立即升級。 將您的網站保留在舊版本上就像您外出度假時保持門上鎖一樣。

WordPress 更新

2) 放置空白 index.php 文件

如果您認為僅設置目錄權限就足夠了,那麼我會說這不是那麼簡單的伙伴! 我建議應該在wp-content/themes/ & wp-content/plugins/文件夾中刪除一個空的 html 或 php 文件( ensure that the name should be index.php )。 這樣,每當有人試圖查看這些文件夾的內容時,他們將看到一個空白頁面,而沒有其他任何內容。 這不是一個聰明的舉動嗎?

文件內容:

index.php
1
2
3
<?php
// Silence is golden.
?>

將空白 index.php 文件放在每個文件夾中

3) 在您的 WP-Config 文件中使用密鑰

在 WordPress 中, wp-config.php文件是存儲 WordPress 連接其電路所需的數據庫信息的文件,可以這麼說。 此文件包含存儲所有用戶信息、博客文章和其他重要內容的 MySQL 數據庫的名稱、地址和密碼。

使用密鑰,您可以使某人更難訪問您的帳戶。

如果您尚未設置密鑰,請轉到 https://api.wordpress.org/secret-key/1.1/ 並將copy the results into this section of your wp-config.php

4)檢查您的 .htaccess 文件

使用.htaccess文件,您可以設置對某些目錄的訪問限制。 您可以將這些限制綁定到特定的 IP 地址,這意味著只有來自該位置的人才能訪問您的信息。

始終建議在選擇您的網絡主機時,您應該向他們確認他們使用的是哪個版本的 MySQL、Apache 和 PHP。”

樣本:

Sample deny,allow in .htaccess
1
2
3
4
5
6
7
8
order deny , allow
deny from 32.177.15. *
deny from 53.177.14. *
deny from 64.255.113. *
deny from 11.255.114. *
deny from 115.225.176.86
deny from 535.255.117.250
allow from all

5) 使用強大的 WordPress 帳戶密碼

除了在wp-config.php文件中添加密鑰之外,還可以考慮將用戶密碼更改為強大且唯一的密碼。 WordPress 會告訴您密碼的強度,但一個好的提示是避免使用常用短語,使用大寫和小寫字母,並包含數字。 定期更改密碼也是一個好主意——比如每兩個月一次。

6) 更新服務器環境和插件

插件和主題在發布後立即更新是您的責任之一。 我建議定期更新您的插件。 看看我一段時間前發表的 CSRF 文章。

關於服務器環境,它不是在你的手中,而是在虛擬主機的手中。 始終建議在選擇您的網絡主機時,您應該向他們確認他們使用的是哪個版本的 MySQL、Apache 和 PHP。 將其與各自網站上提到的最新版本相匹配,如果它們已過時,您應該要求他們更新它們(非常不可能)或盡快更改網絡主機。

7) 切勿使用“admin”作為您的用戶名

安裝 WordPress 後,您應該更改管理員用戶名。

8) 更改數據庫表的WP prefix

它將使您免於 sql 注入黑客攻擊。

9)不要在根目錄下安裝WordPress

將其安裝在某個文件夾中,該文件夾的名稱很奇怪,不容易知道。 類似442testXYZ的東西。 這將從機器人和黑客中拯救您的 WordPress 安裝。

10) 阻止壞機器人

您永遠不知道您的網站何時被不良機器人抓取。 解決方法很簡單。 嘗試將以下內容放入您的.htaccess文件中以阻止不良機器人。

.htaccess
1
2
3
RewriteEngine On
RewriteCond % { HTTP_USER_AGENT } ^ . * ( agent1 | Wget | Catall Spider ) . * $ [ NC ]
RewriteRule . * - [ F , L ]

概括

我們都同意,擁有一個安全的 WordPress 博客應該是我們保持成功博客的首要任務。 WordPress 是一個很棒的發佈軟件,Automattic(WordPress 背後的公司)總是努力保護它,以便數百萬博客可以免受黑客威脅。

有很多方法可以提高 WordPress 的安全性。 這些變化很小,其中許多建議可以在幾分鐘內實施。 您可以放心地了解您的 WordPress 網站,使其免受入侵者和黑客的攻擊。